Hallo maspel!

</font><blockquote>Zitat:</font><hr />Original erstellt von maspel:
1) ich habe gelesen, es wäre ratsam die
systemwiederherstellung zu aktivieren, bevor man
manuell sasser entfernt.</font>[/QUOTE]Nur als deutliche Hervorhebung: du meinst hier sicher deaktivieren.

</font><blockquote>Zitat:</font><hr />Danach nach der entfernung die systemwiederherstellung wieder aktivieren.
Warum sollte man so vorgehen?</font>[/QUOTE]Nun, die Systemwiederherstellung ist eine Funktion, die es dem Nutzer ermöglichen soll, bei einem ggf. beschädtigen System, z.B. nach einer missglückten De-/Installation einer Software (z.B. Treiber), das System wieder in den letzten funktionsfähigen Zustand zurückzuversetzen.

Damit dies möglich wird, müssen in gewissen Abständen (automatisch im Hintergrund) Systemwiederherstellungspunkte angelegt werden, die quasi ein Abbild eines funktiosfähigen Zustandes anlegen und abspeichern. In solche Abbilder fallen dann auch Dateien, die sich in den Ordnern Windows und Windows\System32 befinden.

Schadsoftwaredateien schreiben sich in der Regel aber eben auch in genau diese Verzeichnise, und werden somit auch in den automatisch angelegten Systemwiederherstellungspunkten erfasst.

Das hat den Nachteil zur Folge, dass entweder durch eine automatische oder manuell vom User eingeleitete spätere Systemwiederherstellung auch die Schadsoftwaredateien wiederhergestellt werden, selbst dann, wenn man diese Dateien zuvor gelöscht hatte.

Folglich ist es notwendig, nach einem Schadsoftwarebefall alle Systemwiederherstellungspunkte zu löschen. Und dies geschieht eben am einfachsten, indem man die Systemwiederherstellung deaktiviert und dann das System neu startet. Somit werden a) erstmal keine neuen Punkte angelegt, und b) die alten gelöscht.

Wurde die offensichtliche Schadsoftware entfernt, kann man die Systemwiederherstellung reaktivieren. Neue Punkte werden aber auch hier erst wieder nach einem weiteren Systemneustart angelegt.


</font><blockquote>Zitat:</font><hr />(Es geht lediglich um wissen; selbstverstänglich wäre es vielleicht praktischer z. b. stinger zu verwenden).</font>[/QUOTE]Nein, Stinger hat damit nichts zu tun. Stinger entfernt auch nur wenige Würmer, ist also keinesfalls als "Universal-Entfernungstool" geeignet!


</font><blockquote>Zitat:</font><hr />2) Ist es erforderlich sasser im abgesicherten
modus zu entfernen oder geht es auch im normalen
modus? Erzielt man also auch im normalen modus daselbe ergebnis, oder?</font>[/QUOTE]Das hängt u.a. von der Art der Schadsoftware ab. Generell ist aber eine Entfernung im abgesicherten Modus unproblematischer, da hier Windows mit Minimalkonfiguration gestartet wird. Oftmals wird daher die ein oder andere Malware beim Start im abgesicherten Modus gar nicht aktiv. Ein Beenden laufender Schadsoftwareprozesse über den Taskmanager entfällt so in einigen Fällen.

</font><blockquote>Zitat:</font><hr />3) Warum mit einem anti-virus programm mit
aktuellen definizionen bekommt man die meldung
dass sasser auf dem computer ist, aber wird der
wurm nicht von dem antivirus entfernt?Weil vielleicht das prozess aktiv ist?</font>[/QUOTE]Exakt.


</font><blockquote>Zitat:</font><hr />Und wenn das prozess deaktiviert wird, kann man mit einem antivirus den wurm entfernen?</font>[/QUOTE]Auch das gelingt nicht immer, z.B. bei speicherresidenter Malware. Der Wurm Sober.a zum Beispiel konnte sogar anfangs von einigen speziellen Entfernungstools nicht entfernt werden, da er sich durch zwei parallel laufende Prozesse vor dem Deaktivieren schützt.

</font><blockquote>Zitat:</font><hr />4) Kann man "Stinger" mit neuen definitionen updaten, oder muss man jedes mal das kleine programm herunterladen?</font>[/QUOTE]Stinger ist kein updatefähiges AV-Programm. Es ist nur ein kleines Tool gegen ein paar Würmer. Die Leistungsfähigkeit und Wirkungsbreite von Stinger werden leider zu oft deutlich überschätzt!


</font><blockquote>Zitat:</font><hr />Die normale user wie ich, die nicht von fach sind, benötigen auch solche erklärungen, um die sache besser zu verstehen.</font>[/QUOTE]Dann vielleicht noch ein paar Infos zum Schutz [1], denn "Entfernen" von Schadsoftware ist nicht sinnvoll bzw. nicht nachhaltig sicher [2].

[1] http://www.mathematik.uni-marburg.de...ompromise.html
[2] http://oschad.de/wiki/index.php/Kompromittierung

</font><blockquote>Zitat:</font><hr />Original erstellt von mmk:

Folglich ist es notwendig, nach einem Schadsoftwarebefall alle Systemwiederherstellungspunkte zu löschen. </font>[/QUOTE]Hi mmk,

Frage...:
ist das nicht nur dann notwendig, wenn die Malware auch in der SWH/RESTORE gefunden wird bzw dort vorhanden ist ?
(Mal davon ausgegangen, dass der aktualisierte AV-Scanner die Malware erfasst, dann sollte imho auch der entsprechende AV-Guard/Monitor das Ding im RESTORE melden..)
Denn es wird afaik ja nicht bei JEDER Änderung sofort ein SWH-Punkt angelegt, oder doch ??

(Hab 2000, daher Wissenslücken diesbzgl..)

Hallo,
ich möchte auf einmal 4 fragen stellen, die mit

sasser und andere würmer zu tun haben.
Es ist ein bisschen viel, aber diese einfache fragen

beschäftigen nicht nur meine person sondern auch

andere normale users.

1) ich habe gelesen, es wäre ratsam die

systemwiederherstellung zu aktivieren, bevor man

manuell sasser entfernt.
Danach nach der entfernung die

systemwiederherstellung wieder aktivieren.
Warum sollte man so vorgehen?
(Es geht lediglich um wissen; selbstverstänglich

wäre es vielleicht praktischer z. b. stinger zu

verwenden).

2) Ist es erforderlich sasser im abgesicherten

modus zu entfernen oder geht es auch im normalen

modus?
Eigentlich habe ich eine dritte person geholfen,

sasser im normalen modus zu entfernen:
a) unter "prozesse" avserve.exe ( oder andere

varianten) deaktiviert,
b) entfernung in C:\win.log...up.exe,
c) entfernung in C:\Windows\avserve.exe,
d) entfernung in der Registry unter
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wind

ows\CurrentVersion\Run
den eintrag "avserve.exe".
Erzielt man also auch im normalen modus daselbe

ergebnis, oder?

3) Warum mit einem anti-virus programm mit

aktuellen definizionen bekommt man die meldung

dass sasser auf dem computer ist, aber wird der

wurm nicht von dem antivirus entfernt?
Weil vielleicht das prozess aktiv ist? Und wenn das

prozess deaktiviert wird, kann man mit einem

antivirus den wurm entfernen?

4) Kann man "Stinger" mit neuen definitionen

updaten, oder muss man jedes mal das kleine

programm herunterladen?


Ich bedanke mich im voraus und wünsche mir, eine

antwort zu erhalten.
Die normale user wie ich, die nicht von fach sind,

benötigen auch solche erklärungen, um die sache

besser zu verstehen.

Grüße
Maspel

Hallo mmk:
vielleicht ist es nicht sonderlich nett in verschiedene foren dieselbe fragen zu posten.
Der einzige grund ist dass ich in der vergangenheit ein großes problem hatte und habe meine frage in einem forum gepostet aber leider keine antwort erhalten.
Wenn ich zuvor gewusst hätte, dass ich hier bei trojaner-board eine solche ausführliche antwort auf meine fragen erhielt, hätte nur hier gepostet.


Ich fand deine antwortet super, aber ich habe noch eine allgemeinse frage was prozesse angeht:

</font><blockquote>Zitat:</font><hr />Und wenn das prozess deaktiviert wird, kann man mit einem antivirus den wurm entfernen?</font>[/QUOTE]Auch das gelingt nicht immer, z.B. bei speicherresidenter Malware. Der Wurm Sober.a zum Beispiel konnte sogar anfangs von einigen speziellen Entfernungstools nicht entfernt werden, da er sich durch zwei parallel laufende Prozesse vor dem Deaktivieren schützt.

was die parallele laufende prozesse angeht:
wenn man die namen der prozesse bekannt sind, kann man die alle deaktivieren, um in normalen modus oder mit einem antivirus programm die schädlinge zu entfernen?
Das frage ich lediglich um zu wissen, ob das klappen wurde.
Selbsverständlich ist es ratsam wie du schreibst, das ganze im abges. modus zu machen.

Vielen Dank und Schöne Grüße
Maspel

</font><blockquote>Zitat:</font><hr />Original erstellt von maspel:
was die parallele laufende prozesse angeht:
wenn man die namen der prozesse bekannt sind, kann man die alle deaktivieren, um in normalen modus oder mit einem antivirus programm die schädlinge zu entfernen?</font>[/QUOTE]Leider ist das nicht ganz so einfach, wie man sich das vielleicht vorstellt. Siehe hier:
http://www.rokop-security.de/board/i...showtopic=1049